區域網面對攻擊的安全策略

  區域網的安全問題經常是面對來自Internet的攻擊,因此你必須時刻防範這些惡意攻擊,關注你區域網的計算機系統安全,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。

  下面兩個方法從實踐上來說被認為是非常有用的防範手段:

  1.包過濾

  圖1 七層模型易遭受的安全攻擊

  在網路層檢查通訊資料,觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址範圍傳出或進入,也可以禁止令人懷疑的地址模式。

  2.防火牆

  圖2 包過濾器的配置

  在應用層檢查通訊資料,檢查訊息地址中的埠,或檢查特定應用的訊息內容。測試失敗的任何通訊資料將被拒絕。

  一、路由包過濾

  TCP/IP地址由機器地址和標識程式處理訊息的埠數字組成。這個地址/埠組合資訊對每個TCP/IP訊息都是有效的。包過濾與防火牆相比處理的簡單一些,它僅是觀察TCP/IP地址,而不是埠數字或訊息內容。不過包過濾提供給你的是很好的網路安全工具。

  包過濾器通常使用的是自頂向下的操作原則,下面是它使用的一個典型規則:

  ●允許所有傳出通訊資料通過;

  ●拒絕建立新的傳入連線;

  ●其它的資料可以全部被接受。

  通過這樣的使用規則,系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連線的請求。它阻止使用TCP的通訊資料進入,從而杜絕了對共享驅動器和檔案的未授權訪問。

  過濾器通常的應用是配置在連線你的計算機和Internet的路由器上,如圖2所示。在你的區域網和Internet之間放置過濾器後,就可以保證區域網與Internet所有的通訊資料都要經過過濾器。

  如果包過濾軟體有能力檢查源地址子網,從子網物理埠傳遞訊息到路由器,你就可以制定規則來避免虛假的TCP/IP地址,就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的訊息偽裝成來自你區域網的訊息。包過濾通過拒收帶有不可能源地址的訊息來防禦攻擊者的攻擊。例如,假定你在一個裝有Linux的機器上安裝軟體,讓它作為一個Windows網路檔案伺服器,你可以配置Linux讓它拒收所有來自你的子網以外的通訊資料,阻止Internet上的機器看到這個檔案伺服器。如果攻擊者假裝是你內部的機器,用過濾器就可以阻止攻擊者的攻擊。

  包過濾雖然對網路的安全防範能起到很好的作用,但包過濾也並不是萬能的。它們一般不能防禦使用UDP協議的攻擊,因為過濾器不能拒收開放的訊息。包過濾還不能防禦低層攻擊,象PING方式的攻擊。

  二、防火牆

  使用防火牆軟體可以在一定程度上控制區域網和Internet之間傳遞的資料。圖3所示是一個TCP/IP資料包報頭示意圖,從它上面可以清楚地看到包過濾和防火牆工作原理的不同之處。防火牆不但檢查了包過濾檢查內容的所有部分***TCP/IP的源地址和目的地址***,還檢查了源/目的埠數字和包的內容。

  圖3 包過濾器和防火牆的資訊源

  埠和訊息內容這些資訊使防火牆比包過濾有更強的防範能力,因為這些資訊使防火牆控制特定進/出的主機地址。防火牆的功能有以下幾個方面:

  ●允許或禁止特定的應用服務,例如:FTP或Web頁面服務;

  ●允許或禁止訪問基於被傳遞的資訊內容的服務。

  防火牆最直接的實施就是使用圖2所示的結構,僅把區域網和ISP之間的包過濾器換成防火牆就可以了。這是一個防火牆的最安全的應用,因為它保護了防火牆後面的所有計算機。

  圖4 防火牆中使用DMZ

  如果我們把圖2改為圖4所示的結構,就可以很好地解決這個問題。圖4的結構中有3個埠。第三個埠連線的是另一個區域網,通常叫做DMZ***非軍事區***。DMZ中的計算機與安全域性域網中的計算機相比安全性要差一些,但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP伺服器放在DMZ,從而可以保護其它的計算機。防火牆上的規則設定為阻止進入安全域性域網的通訊資料,僅允許傳出連線的建立。

  如果你想增強DMZ區域網的安全性,可以使用過濾器,限制區域網中伺服器使用的埠,禁止那些來自攻擊站點的訪問。

  為了安全還可以給你的區域網分段,每段設定一個防火牆,每個防火牆使用不同的安全規則。需要記住的一點是,防火牆本身並沒有保障安全的能力,你需要定期的檢查防火牆對可疑事件做出的日誌記錄,還需要去發現和使用軟體的安全補丁。

  如果你使用Windows 98第二版的Internet共享連線功能,讓你的一臺計算機通過Modem把區域網連線上Internet。在這種情況下,你的網路是很不安全的,仍需要改善網路的安全性。最大的威脅就是你的電腦直接連線在了Internet上,你應該直接在這臺電腦上安裝包過濾器或防火牆產品,或讓你的ISP安裝包過濾器或防火牆來保護你的訪問。

 

 

  看過文章“

  1.區域網安全策略

  2.怎麼建立區域網

  3.如何簡單設定一個區域網

  4.區域網共享設定 詳細圖文設定教程

  5.如何進行區域網共享

  6.如何實現區域網內兩臺電腦資源共享

  7.如何搭建30臺電腦的區域網

  8.區域網的定義

  9.區域網入侵如何做到的

  10.如何建立區域網